~/VibeHandbook
$39
阅读本书参考理念获取 PDF常见问题

18 · 06

依赖风险:AI 凭空发明的那个包

现代应用依赖着几十个第三方包,而 AI 推荐起它们来毫不手软。两个风险随之而来。

第一,typosquatting(仿冒抢注)和幻觉出来的包。 攻击者会发布恶意的包,名字和真包只差一丁点(reqeusts 而不是 requests),赌的就是你打错字。AI 有时会信心满满地导入一个根本不存在的包——而一个注意到这种习惯的攻击者,就能去注册那个一模一样的名字、里面塞上恶意代码。在安装 AI 推荐的任何东西之前,瞄一眼它:它真的存在吗,它有真实的下载量和仓库吗,名字的拼写是你预期的那样吗?

第二,未经审查的依赖(总体而言)。 你加进来的每一个包,都是以你应用的全部权限在运行的代码。依赖越多,意味着 bug 和供应链攻击的暴露面也越大。优先选少数几个广为人知的库,而不是一长串名不见经传的;并在加一个包之前先问问*“我们真的需要一个包来干这个吗,还是说这就十行代码?”*

定期运行你所在生态的审计工具(npm auditpip-audit 之类)——它会标出你已经装了的东西里那些已知的漏洞,而 AI 很擅长修复它报出来的问题。

想离线阅读?

获取 PDF + EPUB + 可下载的提示词库 + 版本更新。

$ 获取 PDF — $39